Apache Struts 2 远程代码执行漏洞

最新推荐文章于 2023-12-15 20:30:29 发布
最新推荐文章于 2023-12-15 20:30:29 发布
阅读量732 收藏
点赞数
分类专栏: 网络安全 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hujinfan/article/details/84770849
版权

漏洞预警:Apache Struts 2 远程代码执行漏洞 (严重)

 

    Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。
    昨天有安全研究员在Struts 2上发现了一个严重的远程代码执行漏洞(CVE-2016-0785),所以Struts 2的开发者和用户都应该知晓这枚漏洞,以防被不法企图者恶意利用。
之前我们公司就因为这个漏洞被入侵成功过!


受影响的Struts 2版本

Struts 2.0.0 – Struts Struts 2.3.24.1

修复建议

当重分配传入Struts标签属性的参数时,总是进行验证

建议用户将Struts升级至 2.3.26版本。

官方公告:http://struts.apache.org/docs/s2-029.html
新闻来源:http://www.freebuf.com/news/98992.html

 

最新进展

相关报道见:http://bobao.360.cn/learning/detail/2801.html

官网提供的升级版本:http://struts.apache.org/docs/version-notes-2326.html

码呗学院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Struts2--048远程代码执行漏洞复现
m0_48520508的博客
12-28 602
0x00简介 Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了Struts框架的部分优点,提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。 0x01漏洞概述 Apache Struts2 2.3.x 系列启用了struts2-struts1-plugin 插件并且存在 struts2-showcase 目录,其漏洞成因是当A.
Apache Struts2远程代码执行漏洞(S2-001)复现
qq_36933272的博客
09-01 827
根据参考链接,密码框输入%(1+1)验证是否存在S-2001漏洞,用户名任意 回显2,存在漏洞,网上寻找poc,ls查看根目录下的文件,发现key.txt%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{“ls”,"/"})).redirectErrorStream(true).start(), #b=#a.getInputStr...
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 6506
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
Apache Struts 代码执行漏洞风险通告
亚信安全官方账号的博客
12-15 227
亚信安全监测发现Apache披露Apache Struts代码执行漏洞,攻击者可上传恶意文件,请相关用户尽快采取措施。
Apache Struts2 远程代码执行漏洞(S2-045)技术分析与防护方案
热门推荐
xiao190128的专栏
03-10 1万+
Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞漏洞编号为CNNVD-201703-152。攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。 相关链接如下: https://cwiki.apache.org/confluence/display/WW/S2-045?
Apache Struts2远程代码执行漏洞(CVE-2021-31805)安全通告
weixin_44254243的博客
04-15 6478
1. 事件描述 监测发现,开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。受影响版本为Apache Struts 2.0.0~2.5.29。目前,该漏洞已在Apache Struts 2.5.30版本中修复。 事件类型:漏洞利用 事件等级:高危 2. 影响范围 远程代码执行漏洞影响范围: 2.0.0<=Apache Struts <= 2.5.29 不受影响版本 Apache Struts
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令执行漏洞的成因是 Struts2 标签库中的 ...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
04-26
升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...
sturts2远程代码执行漏洞解决方法
03-04
然而,如同任何其他复杂系统一样,Struts2也存在安全漏洞,其中“Struts2远程代码执行漏洞”是一个严重的问题,可能允许攻击者在服务器端执行任意代码,从而对系统的安全性构成重大威胁。 这个漏洞主要涉及到Struts...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
Struts2 漏洞 S2-045 修补方法 Struts2 是一个基于 Java 的 Web 应用程序框架,广泛应用于企业级应用程序中。然而,Struts2 中存在着一些漏洞,例如 S2-045 漏洞,该漏洞可能会导致严重的安全问题。今天,我们将...
struts2漏洞_【更新】Apache Struts2 远程代码执行漏洞(CVE202017530)
weixin_39897127的博客
12-16 655
漏洞名称:Apache Struts2远程代码执行漏洞(CVE-2020-17530)威胁等级:高危影响范围:Apache Struts 2.0.0 - 2.5.25漏洞类型:远程代码执行利用难度: 中等漏洞分析1Apache Struts2 组件介绍Struts2是一个基于MVC设计模式的Web应用框架。在MVC设计模式中,Struts2作为控制器(Contro...
Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日
网站安全专家
11-08 1151
2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏洞补丁,这个漏洞Apache Struts目前最新的漏洞,影响范围较广,低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的攻击,目前apache官方更新的漏洞补丁,主要是修复commonsfileupload上传库出现的安全问题,这个库可以远程执行代码,上传木...
CVE-2021-31805:Apache Strusts2远程代码执行漏洞
冬的博客
04-15 2738
读者需知 本文仅供学习使用,由于传播和利用此文所造成的损失均由使用者本人负责,文章作者不为此承担责任 简介 近期,Apache软件基金会敦促机构设法解决编号为CVE-2021-31805的漏洞,该漏洞会对Struts2.0.0到2.5.29的版本产生影响,攻击者可以通过此漏洞来控制受影响的系统。 Apache Struts是一个用于开发Java EE Web 应用程序的开源Web应用程序框架,根据Apache发布的公告,该机构解决的问题是存在于Apache Struts中的一个严重漏洞,该漏洞与.
关于 Apache Struts 2 存在远程代码执行漏 洞的安全公告
weixin_48421613的博客
04-13 3616
2022 年 4 月 12 日,Apache 官方公布 S2-062 远程代码执 行漏洞安全公告,漏洞编号为 CVE-2021-31805。 一、漏洞描述 Apache Struts 是一个免费的开源 MVC 框架,用于创建 优雅的现代 Java Web 应用程序。它支持约定优于配置,可使 用插件架构进行扩展,并附带支持 REST、AJAX 和 JSON 的插 件。 由于对 CVE-2020-17530(S2-061)的修复不完整,导致输 入验证不正确。如果开发人员使用 %{…}语法应用强制 OGNL 解析
Apache Struts2 存在远程代码执行漏洞(CVE-2020-17530)
悟●禅●酒的专栏
12-20 1339
风险描述: 近期,Apache Struts 官方披露Struts2 组件存在远程代码执行漏洞(CVE-2020-17530),该漏洞是由于Struts2 标签功能中的OGNL 表达式验核存在设计缺陷,可被攻击者恶意篡改,注入恶意程序代码,绕过表达式合规性验证,从而造成远程代码执行。 影响范围: 使用2.0.0 至2.5.25 版本Struts2 组件的业务系统。 处置方法 目前Apache 官方针对上述漏洞已发布补丁,可通过升级至Struts2 2.5.26版本修复该漏洞。 下载地址:https://st
Apache Struts2远程代码执行漏洞(S2-029)复现
qq_36933272的博客
09-03 1564
打开源代码,发现传递信息的参数是message 查找S-2-029的poc,(#_memberAccess[‘allowPrivateAccess’]=true,#_memberAccess[‘allowProtectedAccess’]=true,#_memberAccess[‘excludedPackageNamePatterns’]=#_memberAccess[‘acceptPropert...
Apache Struts2远程代码执行漏洞(S2-004)复现总结
qq_45746681的博客
10-06 552
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Apache Struts2远程代码执行漏洞(S2-004)复现漏洞原理漏洞复现 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、Apache Struts2远程代码执行漏洞(S2-004)复现 在这里使用墨者学院的靶场进行复现 漏洞原理 Strut
apache struts2框架命令执行漏洞(s2-045、s2-046)
最新发布
01-11
Apache Struts2框架是一种流行的开源Web应用程序开发框架,但曾经发生过多个命令执行漏洞,其中包括s2-045和s2-046漏洞。 s2-045漏洞源于在处理远程表达式语言(OGNL)时存在安全漏洞,攻击者可以利用构造特定的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值